印度多家知名品牌遭营销公司数据泄露

HackerNews 编译，转载请注明出处：

印度多家知名品牌遭第三方营销公司数据泄露，其范围影响超百万人。

Swiggy、Redbus、Nykaa、BigBasket、TataMotors、ICICIPruLife、Axis Direct等印度知名品牌因网络安全疏忽导致大量用户个人数据被泄露。

该开放实例包含多个印度知名品牌客户的敏感数据，包括银行服务商、保险机构、电商平台、娱乐应用平台和教育机构的数据。

Redbus用户数据截图

Nykaa 用户数据泄露信息

此外，受泄密影响的公司没有在其隐私政策中明确声明第三方可以出于营销目的访问客户数据，这可能违反了印度的数据保护法。

Cybernews联系Gamooga 公司，获知该公司已获得了数据访问权限，目前尚未收到营销公司和受影响公司的正式评论。

受泄密影响的知名品牌包括：

1. Nykaa（在线美妆零售商）
2. Swiggy（在线食品订购服务商）
3. BigBasket（在线零售商）
4. TataMotors （印度跨国汽车公司）
5. ICICIPruLife（寿险公司）
6. CaratLane（珠宝零售商）
7. AxisDirect（在线证券交易平台）
8. Redbus（在线巴士票预订平台）

海量数据

Kafka 是一个分布式消息流平台，用于实时处理大量数据。Brokers 是 Kafka 架构中的服务器，用于管理数据记录的存储并将数据进行传输。

泄露数据列表：

1. 电子邮件地址、姓名
2. 购买记录
3. IP地址
4. 电话号码
5. 出生日期
6. 订单交货日期
7. 保险信息
8. 部分付款信息
9. 设备信息
10. 用户位置

用户数据泄露截图

在调查过程中，研究人员收集了未受保护的Kafka Broker发送的超4000万个请求，并在两小时内收集了17GB的私人数据。

研究人员收集的请求包含超一百万个用户的敏感信息。根据上述数据，可推测该第三方公司在访问的期间，此类请求的总量可飙升至2000亿。

BigBasket 的订单信息

信用卡信息

客户面临风险

泄露的数据对于数据经纪人、执法机构、政府、情报机构及黑客来说意义重大。

保险提供商的信息

如果黑客访问这些数据，可能会对使用 Gamooga 服务的公司造成重大损害。泄露的数据将带来如身份盗窃、垃圾邮件、人肉搜索、网络钓鱼、恐吓等系列网络安全风险。

TataMotors发送的邮件截图

隐私政策中未注明

Cybernews研究团队审查了通过暴露 Kafka Broker传输用户数据公司的隐私和cookie政策。

没有一家公司透露出于营销目的与Gamooga共享用户数据。一些政策披露了第三方营销公司的使用情况，但并未说明共享的数据范围以及数据用途。

Caratlane 客户和网络请求

与欧洲的GDPR和加利福尼亚州的CCPA类似，印度也正在通过自己的数据保护法——2023年数字个人数据保护法（DPDPA）。

从银行应用程序收集的信息

根据该法案，企业在处理用户数据之前需要获得用户的同意，说明收集的数据用途，并允许用户撤销同意。

这些公司没有声明已与Gamooga共享用户数据，而这一事实可能被视为违反DPDPA。

消息来源：Cybernews，译者：dengdeng；  

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文